Rocky Linux on jakelu, jonka tavoitteena on luoda ilmainen RHEL-kokoelma, joka voi korvata klassisen CentOS:n.
Äskettäin "Rocky Linux" -jakelun kehittäjät ilmoittivat Blogiviestin kautta he ilmoittivat uuden GIS-ryhmän luominen (Special Interest Group) Suojaus, jonka tarkoituksena on ylläpitää paketteja, jotka liittyvät edistyneen suojan tarjoamiseen ja lisätietoturvatyökalujen tarjoamiseen.
Niiden, jotka eivät tiedä Rocky Linuxista, sinun pitäisi tietää, että tämä on "uusi Linux-jakelu" (suhteellisesti), jonka on kehittänyt Rocky Enterprise Software Foundation ja jonka tavoitteena on luoda ilmainen versio RHEL:stä, joka pystyy korvaamaan klassisen CentOS:n. olla jakelu "downstream", julkaistu kokonaan binäärikoodin tukemiseksi Red Hat Enterprise Linux -käyttöjärjestelmän lähdekoodilla.
Uusi GIS-arkisto Rocky Linuxissa
Mitä tulee Rocky Linuxissa luotuun uuteen arkistoon, se mainitaan niin se on tarkoitettu myös «Security Special Interest Group» -ryhmässä Vaihtoehtoiset versiot paketeista julkaistaan jo olemassa olevia suunniteltu sisältämään erilaisia mekanismeja turvallisuuden parantamiseksi tai haavoittuvuuksien korjaamiseksi joita ei ole vielä korjattu RHEL- ja CentOS Streamissa.
Sellaisenaan arkisto ei ole yksinoikeus jakelulle, vaan kaikki kehitystyöt julkaistaan itsenäisessä arkistossa, jota voidaan käyttää myös muissa Red Hat Enterprise Linuxin kanssa yhteensopivissa jakeluissa.
Blogiviestissä Rocky Linux -kehittäjät mainita, että Security SIG:n tehtävä on:
- Kehittää ja ylläpitää erilaisia turvallisuuteen liittyviä paketteja, joita ei löydy EL:stä (Enterprise Linux) ylävirtaan.
- Tunnista, kehitä ja ylläpidä ylävirran EL-paketteihin liittyviä turvallisuusmuutoksia.
- Sisällytä/portaat lisätietoturvakorjauksia, joita ei vielä ole ELupstream-paketeissa.
- Osallistu vastaaviin alkuvaiheisiin, kun se on mahdollista.
Puolelta arkiston sisältö, mainitaan, että seuraavat paketit ovat tällä hetkellä tarjolla arkistossa, OpenSSH-paketti, joka sisältää sshd:n vähemmällä kirjastolla jaettu, tästä paketista mainitaan, että se on käännetty vain RHEL 9 -haaralle sekä siihen liittyville paketeille: pam_ssh_agent_auth, libnsl, nscd, nss_db, nss_hesiod.
Tämän lisäksi se tarjoaa myös LKRG-ydinmoduuli (Linux Kernel Runtime Guard), joka on suunniteltu havaitsemaan ja estämään sekä hyökkäykset että ydinrakenteiden eheysrikkomukset (moduuli voi esimerkiksi suojata luvattomilta muutoksilta käynnissä olevaan ytimeen ja yrityksiltä muuttaa käyttäjän prosessien käyttöoikeuksia, noin tämä paketti on käännetty RHEL 8- ja RHEL 9 -haaroihin.
Toinen arkiston sisältämistä paketeista on «passwdqc» jota käytetään salasanojen ja tunnuslauseiden monimutkaisuuden valvontaan, mukaan lukien pam_passwdqc-moduuli, pwqcheck-, pwqfilter- ja pwqgen-ohjelmat sekä libpasswdqc-kirjasto. Paketti on rakennettu RHEL 8- ja RHEL 9 -konttoreille.
Varastossa on myös mm. Glibc, mukaan lukien Owl-projektin kehittämät ja ALT Liniin sovelletut tietoturvaparannuksetux. Paketti sisältää myös korjauksia kahden haavoittuvuuden estämiseksi: ld.so-haavoittuvuuden (CVE-2023-4911), jonka avulla paikallinen käyttäjä voi nostaa oikeuksiaan järjestelmässä määrittämällä erityisesti muotoiltuja tietoja ympäristömuuttujassa GLIBC_TUNABLES, ja haavoittuvuuden (CVE-2023-4527) getaddrinfo-toiminnossa, mikä voi johtaa pinon vuotamiseen tai kaatumiseen. Paketti on rakennettu RHEL 9 haaralle.
Security SIG:n avustaja Solar Designer mainitsi seuraavan X:ssä (entinen Twitter):
Liityin äskettäin Rocky Linux -projektiin ja julkaisimme tietoturvatietovaraston, joka tarjoaa tällä hetkellä joitain lisä- ja ohituspaketteja (lisää pian), mukaan lukien glibc kovetetulla suojauksella EL9-jakeluille (pian EL8) tehokkaalla CVE-2023 -4911:n torjuntaan.
Jos haluat lisätä arkiston Rocky Linuxiin tai sen RHEL-yhteensopivaan jakeluun, he voivat tehdä sen avaamalla päätelaitteen ja kirjoittamalla siihen komennon.
dnf install rocky-release-security
vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat Seuraavassa linkissä.